CN108700861B - 用于运行用于机动车的控制设备的方法 - Google Patents
用于运行用于机动车的控制设备的方法 Download PDFInfo
- Publication number
- CN108700861B CN108700861B CN201780016128.9A CN201780016128A CN108700861B CN 108700861 B CN108700861 B CN 108700861B CN 201780016128 A CN201780016128 A CN 201780016128A CN 108700861 B CN108700861 B CN 108700861B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- thread
- control device
- error
- section
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000012544 monitoring process Methods 0.000 claims abstract description 81
- 238000012545 processing Methods 0.000 claims abstract description 6
- 230000006870 function Effects 0.000 claims description 7
- 230000011664 signaling Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 3
- 238000012360 testing method Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0784—Routing of error reports, e.g. with a specific transmission path or data flow
Abstract
提出一种用于运行用于机动车的控制设备的方法,其中所述控制设备设有支持线程处理的操作系统。实施多个应用线程(6),所述应用线程分别包括功能区段(12)和监控区段(14;16),其中所述监控区段(14;16)获取监控结果。实施中心的监控线程(10),所述中心的监控线程根据所述监控结果来获取错误。
Description
技术领域
本发明涉及一种用于运行用于机动车的控制设备的方法。
背景技术
像比如用于进行马达控制的控制设备应用程序如所熟知的那样在嵌入式系统上来实施。对于这些系统来说,已知用于对软件和硬件进行监控的方法。示例性地参照DE 102005 021 986 A1。
越来越多地在汽车领域内使用以可以进行线程处理的操作系统为前提的应用程序。这些应用程序比如涉及在高度自主的驾驶的领域内的计算的实施。
发明内容
提出一种用于运行用于机动车的控制设备的方法,其中所述控制设备设有支持线程处理的操作系统。所述方法包括多个应用线程的实施,所述应用线程分别包括功能区段和监控区段。所述相应的监控区段获取监控结果。此外,所述方法包括中心的监控线程的实施,所述中心的监控线程根据所述监控结果来获取错误。由此能够将具有高要求的安全方案扩展到在支持线程处理的操作系统上运行的应用程序。由此能够明显地提高包括所述多个应用线程的控制设备的安全完备性,而不必使所述软件的功能结构与此相匹配。
尤其借助于所提出的方法能够以小的匹配耗费不仅将第三方供应商的软件组件而且将硬件组件集成到相应的车辆系统的安全方案中。因此,比如能够在机动车中使用标准组件、比如以太网组件、多核处理器或者像QNC或者Linux一样的操作系统。因此,有利地不必为所述操作系统扩展相应的安全机制。
在一种有利的实施方式中,存储器区域配属于相应的应用线程的相应的功能区段。所述监控区段实施对于所分配的存储器区域的检查。相应的监控结果包括存储器检查的错误。因为动态地由所述操作系统为所述多个应用线程分别分配了存储器区域,所以能够在不取决于过程/程序分配到不同的处理器核心上的情况下通过所述监控区段来检查相应的所分配的存储器区域。因此,不需要所述软件的功能结构的改变、也就是说关于所述功能区段的改变。
在一种有利的实施方式中,所述相应的应用线程的监控区段关于所述功能区段来实施程序运行控制并且获取检查值。相应的监控结果包括检查值。能够有利地借助于中心的监控线程使该检查值与其他的检查值相关联,由此不仅降低有待检查的监控结果的数量而且能够实施对于所述控制设备的中心的监控。
在一种有利的实施方式中,合并线程将多个、分别配属于过程或者程序或者处理器核心的监控结果合并成共同的监控结果。通过这个合并线程,能够有利地通过所述监控线程将有待检查的检测结果的数量降低到最低限度,这减少了用于提供系统完备性的耗费。
在一种有利的实施方式中,所述控制设备包括多个处理器核心,其中所述应用线程在所述处理器核心中的第一处理器核心之一上运行,并且其中所述监控线程在所述处理器核心中的第二处理器核心上运行。
在一种有利的实施方式中,所述控制设备包括监视器单元(Watchdog-Einheit),其中所述中心的监控线程以有规律的间隔将无错误的状态报告给所述监视器单元。在缺少所述无错误的状态的报告时所述监视器单元使所述控制设备或者其部件重新初始化。通过所述中心的监控线程,来实现所述监视器单元的运行与所述监控结果的获取之间的时间上的去耦合。
在另一种有利的实施方式中,所述监控线程将所述监控结果与目标-监控结果进行比较。根据所述比较来获取所述错误。
附图说明
本发明的另外的特征和优点从以下对实施例所作的描述中得出。对于功能等效的特征的参量来说,在所有附图中使用相同的附图标记,而没有再次指出这一点。在附图中示出:
图1示出了示意的示例性的时间-优先权-图表;并且
图2以示意的形式示出了所述控制设备的一部分。
具体实施方式
图1示出了示意的示例性的时间-优先权-图表,该时间-优先权-图表示出了线程在机动车的控制设备上的运行。第一过程4A包括三个应用线程6A、6B和6C。第二过程4B包括两个应用线程6D和6E。所述过程4A具有比所述过程4B高的优先权。此外示出了过程8,该过程包括监控线程10,其中所述监控线程10或者所述过程8在不取决于所述优先权P的情况下实施。
所述应用线程6A到6E中的相应的应用线程包括功能区段12和第一及第二监控区段14、16。所述功能区段12包括所述软件的相应的功能部分,所述软件则包括相应的过程4A、4B。所述第一监控区段14实施由相应的应用线程6所利用的存储器区域的存储器检查。
在进行存储器检查时,比如首先要保护所述存储器区域的内容,将预先确定的目标-模式写入到所述存储器区域中并且随后进行测试,是否来自所述存储器区域的从所述存储器区域中读出的模式与所述目标-模式相符。如果所读出的模式与所述目标-模式不相符,那么所述第一监控区段14就产生错误18,这示例性地借助于所述应用线程6A和6D来示出。当然,所述存储器检查也能够以其它的方式来实施,以用于获取错误18。
作为替代方案或者补充方案,所述存储器检查能够包括ROM检测(ROM:Read OnlyMemory,只读存储器),在进行所述ROM检测时通过在ROM中所保存的数据来获取检查值并且根据所获取的检查值与所预料的检查值的比较来获取所述错误18。
所述第二监控区段16关于所述功能区段12来实施程序运行控制并且获取相应的检查值20,这同样借助于所述应用线程6A和6D来示出。所述检查值20比如通过以下方式来形成:在所述相应的功能区段12的运行的期间以预先确定的程序段按顺序地记录控制值。这些按顺序地记录的控制值而后形成所述检查值20。不仅所述错误18而且所述检查值20能够仅仅本身或者一起称为监控结果。
除此以外,应用线程6能够包括另一个未示出的监控区段,该监控区段实施对于系统访问权的检查。因此,比如能够借助于这个监控区段在所述应用线程6之内检查,所述应用线程6是否可以写入到配属于所述应用线程6的存储器区域中。如果不是这种情况,则将所述应用线程6的这个缺少的写入授权在监控结果的意义上报告给所述中心的监控线程10。当然,也能够检查其它的、比如与相应的应用线程对系统资源的访问相关的系统访问权。相应地,也能够将另外的监控区段添加到相应的、承担另外的监控功能的应用线程6中。
所述中心的监控线程10包括功能区段22以及第一和第二监控区段24和26。比如周期性地实施所述中心的监控线程10。在另一种实施方式中,在多个经实施的应用线程6或者其它的调度规定(Scheduling-Vorschrift)之后来实施所述中心的监控线程10。
比如借助于内部-过程-通信向所述功能区段22输送多个错误18和多个检查值20并且由所述功能区段22进行分析。如果存在错误18,那就能够借助于信号28来部分地或者完全重新地起动所述控制设备或者使其重新初始化。此外,所述功能区段22对所述检查值20进行分析并且将这些检查值20与目标-检查值进行比较。这种比较比如能够通过所述检查值20与在表格中所保存的目标-检查值的比较来进行。在另一种实施方式中,所述功能区段22借助于相应的算法来检查所得到的检查值20。
所述第一检测区段24像所述第一检测区段14一样实施存储器测试,在重新实施所述监控线程10时检查所述存储器测试的结果。所述第二检测区段26像所述第二检测区段16一样实施程序运行控制,在重新实施所述监控线程10时对所述程序运行控制的结果进行检查。
因此提供一种软件架构,借助于该软件架构在可进行线程处理的操作系统的内部首先实施多个应用线程6,所述应用线程借助于内部过程通信将监控结果以错误18的形式并且/或者以检查值20的形式传输给中心的监控线程10。如果实施所述中心的监控线程10,那么该中心的监控线程就根据监控结果获取呈信号28的形式的错误。所述信号28用于使整个系统转换到安全的状态中,这比如能够通过整个控制设备或者其部件的复位来实现。
在一种作为替代方案的实施方式中,每个过程4能够取代多个检查值20而形成共同的检查值以用于传递给所述中心的监控线程10。当然,所述共同的检查值也能够根据所述多个检查值20来形成。
当然,所述第一和第二监控区段14、16仅仅是示例性的并且能够取代存储器检查或者程序运行控制而实施其它的检查或者数值计算功能、比如存储器或者计算资源消耗的获取或者前面提到的ROM检查并且将相应的检查结果传递给所述监控线程10。
图2以示意的形式示出了所述控制设备30的一部分。处理器32包括四个处理器核心34A到34D。在所述处理器核心34A到34C上实施多个未示出的应用线程6,将所述应用线程的监控结果以错误18和检查值20的形式传递给相应的合并线程36。所述合并线程36将各个应用线程6的前面提到的监控结果合并成每个处理器核心34一个共同的监控结果38。将所述共同的监控结果38输送给所述监控线程10,该监控线程被设置用于在所述第四处理器核心34D上运行。
此外,所述控制设备30包括监视器单元40,由所述监控线程10以有规律的间隔向所述监视器单元通报无错误的状态。在存在通过所述监控线程10确定的错误或者所述监控线程10的故障的情况下,停止这种有规律的信号传递,所述监视器单元40确定这一点并且根据信号42使所述控制设备30重新初始化。
所述中心的监控线程10的布置被设置在所述处理器核心34D上,所述处理器核心在物理上与所述处理器核心34A-C分开,在所述处理器核心上实施应用线程6。由此通过所述中心的监控线程10实现监控结果的获取与对于监视器单元40的操作之间的时间上的去耦合,这积极地影响到总系统的稳定性以及由此其安全性。
在另一种实施方式中,所述监控线程10负责将向所述监控线程10提供的监控结果像比如共同的监控结果38一样提供给所述监视器单元40。在这种实施方式中,所述监视器单元40实施对于所述监控结果的检查并且根据这种检查来产生信号42。
当然,所述线程6、36和10的在图2中所示出的布置及其在不同的处理器核心34上的分配能够套用到多处理器系统上,由此各个线程6、36和10不是被分配到处理器核心34上,而是被分配到处理器上。
Claims (7)
1.用于运行用于机动车的控制设备(30)的方法,其中所述控制设备(30)设有支持线程处理的操作系统,所述方法包括以下步骤:
-实施多个应用线程(6),所述应用线程分别包括功能区段(12)和两个监控区段(14;16),其中所述两个监控区段(14;16)获取监控结果;
-实施中心的监控线程(10),所述中心的监控线程根据所述监控结果来获取错误(28),
其中存储器区域配属于相应的应用线程(6)的相应的功能区段(12),其中第一监控区段(14)实施对于所分配的存储器区域的检查,并且其中所述相应的监控结果(18)包括所述存储器检查的错误,
其中所述相应的应用线程(6)的第二监控区段(16)关于所述功能区段(12)实施程序运行控制并且获取检查值(20),并且其中所述相应的监控结果包括所述检查值(20)。
2.根据权利要求1所述的方法,其中合并线程(36)将多个、分别配属于过程或者程序或者处理器核心(34)或者处理器的监控结果合并成共同的监控结果(38)。
3.根据权利要求1所述的方法,其中所述控制设备(30)包括多个处理器核心(34),其中所述应用线程(6)在所述处理器核心中的第一处理器核心(34A)上运行,其中所述监控线程(10)在所述处理器核心中的第二处理器核心(34D)上运行。
4.根据权利要求1所述的方法,其中所述控制设备(30)包括监视器单元(40),并且其中所述中心的监控线程(10)以有规律的间隔将无错误的状态信号传递至所述监视器单元(40),并且其中在缺少所述无错误的状态的信号传递时所述监视器单元(40)使所述控制设备(30)或者其部件重新初始化。
5.根据权利要求1所述的方法,其中所述监控线程(10)将监控结果与目标-监控结果进行比较,并且其中根据所述比较来获取错误。
6.用于运行机动车的控制设备(30),所述控制设备设有数字的计算设备,计算机程序能够在所述数字的计算设备上运行,所述计算机程序构造用于实施根据权利要求1-5中任一项所述的方法。
7.用于根据权利要求6所述的控制设备(30)的存储器介质,在其上面存储有计算机程序,所述计算机程序构造用于实施根据权利要求1-5中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016203852.4 | 2016-03-09 | ||
| DE102016203852.4A DE102016203852A1 (de) | 2016-03-09 | 2016-03-09 | Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug |
| PCT/EP2017/055332 WO2017153411A1 (de) | 2016-03-09 | 2017-03-07 | Verfahren zum betreiben eines steuergeräts für ein kraftfahrzeug |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108700861A CN108700861A (zh) | 2018-10-23 |
| CN108700861B true CN108700861B (zh) | 2021-06-25 |
Family
ID=58314173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780016128.9A Active CN108700861B (zh) | 2016-03-09 | 2017-03-07 | 用于运行用于机动车的控制设备的方法 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN108700861B (zh) |
| DE (1) | DE102016203852A1 (zh) |
| WO (1) | WO2017153411A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102020131998A1 (de) | 2020-12-02 | 2022-06-02 | Bayerische Motoren Werke Aktiengesellschaft | Steuerung eines Kraftfahrzeugs |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5257373A (en) * | 1990-04-05 | 1993-10-26 | Zexel Corporation | System by determining if all multiple tasks were processed normally |
| CN102696037A (zh) * | 2009-10-15 | 2012-09-26 | Fts电脑技术有限公司 | 在硬件平台上执行安全相关和非安全相关软件构件的方法 |
| CN103676722A (zh) * | 2012-09-14 | 2014-03-26 | 英飞凌科技股份有限公司 | 使用修改的监视计时器的安全系统的质问和响应 |
| CN104008049A (zh) * | 2013-02-22 | 2014-08-27 | 罗伯特·博世有限公司 | 用于监控机动车控制器工作系统中的堆栈存储器的方法 |
| EP2813949A1 (en) * | 2013-06-11 | 2014-12-17 | ABB Technology Ltd | Multicore processor fault detection for safety critical software applications |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005021986A1 (de) | 2005-05-09 | 2006-11-16 | Robert Bosch Gmbh | Verfahren zur Steuergeräte-Überwachung |
-
2016
- 2016-03-09 DE DE102016203852.4A patent/DE102016203852A1/de active Pending
-
2017
- 2017-03-07 WO PCT/EP2017/055332 patent/WO2017153411A1/de active Application Filing
- 2017-03-07 CN CN201780016128.9A patent/CN108700861B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5257373A (en) * | 1990-04-05 | 1993-10-26 | Zexel Corporation | System by determining if all multiple tasks were processed normally |
| CN102696037A (zh) * | 2009-10-15 | 2012-09-26 | Fts电脑技术有限公司 | 在硬件平台上执行安全相关和非安全相关软件构件的方法 |
| CN103676722A (zh) * | 2012-09-14 | 2014-03-26 | 英飞凌科技股份有限公司 | 使用修改的监视计时器的安全系统的质问和响应 |
| CN104008049A (zh) * | 2013-02-22 | 2014-08-27 | 罗伯特·博世有限公司 | 用于监控机动车控制器工作系统中的堆栈存储器的方法 |
| EP2813949A1 (en) * | 2013-06-11 | 2014-12-17 | ABB Technology Ltd | Multicore processor fault detection for safety critical software applications |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017153411A1 (de) | 2017-09-14 |
| CN108700861A (zh) | 2018-10-23 |
| DE102016203852A1 (de) | 2017-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10127161B2 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
| JP4232987B2 (ja) | プロセッサユニットの少なくとも2つの動作モードを切替る方法および対応するプロセッサユニット | |
| CN112004730B (zh) | 车辆控制装置 | |
| US9604585B2 (en) | Failure management in a vehicle | |
| US20130067465A1 (en) | Distributed computing architecture with dynamically reconfigurable hypervisor nodes | |
| CN103309344B (zh) | 验证安全关键的交通工具控制系统的完整性的系统和方法 | |
| CN111891134B (zh) | 自动驾驶处理系统和片上系统、监测处理模块的方法 | |
| KR20130119452A (ko) | 오류 허용 아키텍쳐를 갖는 마이크로프로세서 시스템 | |
| US8223007B2 (en) | Method for ensuring or maintaining the function of a complex complete safety-critical system | |
| US11281547B2 (en) | Redundant processor architecture | |
| JP2009251967A (ja) | マルチコアシステム | |
| KR20160022245A (ko) | 프로세서 시스템, 엔진 제어 시스템 및 제어 방법 | |
| WO2015045507A1 (ja) | 車両用制御装置 | |
| US10540218B2 (en) | Processor system and method for monitoring processors | |
| CN108700861B (zh) | 用于运行用于机动车的控制设备的方法 | |
| CN107924348B (zh) | 用于对车辆的电子的线路单元的状态进行监控的方法和装置 | |
| US9128838B2 (en) | System and method of high integrity DMA operation | |
| JP6502211B2 (ja) | 車両制御装置 | |
| US11914456B2 (en) | Method and device for securing access to encoded variables in a computer program | |
| CN110574343A (zh) | 用于保护车辆安全系统的操作系统的方法和半导体电路 | |
| JP6349444B2 (ja) | 車両用制御装置 | |
| JP4829821B2 (ja) | マルチプロセッサシステムおよびマルチプロセッサシステムにおける復旧方法 | |
| CN107179980B (zh) | 用于监视计算系统的方法和相应的计算系统 | |
| US11613266B2 (en) | Monitoring a component of a control system for a means of transport | |
| JP6921219B2 (ja) | 分散制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |